NIS2 a nZKB: Kybernetická bezpečnost pod lupou top managementu

Kybernetická bezpečnost se s příchodem nové legislativy stává přímou odpovědností vrcholného vedení firem. Směrnice NIS2 a její národní transpozice v podobě Nového zákona o kybernetické bezpečnosti (nZKB), připraveného NÚKIBem, zásadně mění pravidla hry. Už se nelze spoléhat na IT oddělení – odpovědnost nyní nese statutární orgán.

Klíčové povinnosti regulovaných osob. Na co se připravit?

V souvislosti s novou legislativou přechází na řadu firem mnoho nových povinností, které musí splnit, pokud spadají do kategorie regulovaných subjektů. Dodržení těchto pravidel firmám pomůže vyhnout se sankcím a zároveň posílit svou dlouhodobou stabilitu i důvěryhodnost v očích obchodních partnerů.

Hlavní povinnosti statutárů:

• ohlášení regulované služby NÚKIBu do 60 dnů od účinnosti nZKB a následná registrace,
• zavedení bezpečnostních opatření do jednoho roku od registrace, včetně jmenování odpovědných osob, vedení dokumentace, řízení dodavatelů a incidentů,
• hlášení kybernetických bezpečnostních incidentů NÚKIBu do 24 hodin od jejich zjištění,
• rozsah řízení kybernetické bezpečnosti se vztahuje na všechna aktiva související s regulovanou službou; pokud nejsou primární aktiva identifikována, považují se za regulovaná všechna klíčová aktiva společnosti.

Nové povinnosti pro vrcholné vedení

Nový zákon o kybernetické bezpečnosti mění pohled na odpovědnost vedení firem a výslovně stanovuje povinnosti samotného vedení. V závislosti na velikosti a významu organizace rozlišuje zákon dvě úrovně povinností: tzv. režim vyšších a nižších povinností. V obou případech však platí, že odpovědnost je přímá, neodkladná a klíčová pro minimalizaci rizik i ochranu reputace firmy. Zákon o kybernetické bezpečnosti rozděluje odpovědnosti vedení do dvou režimů:

1. Režim vyšších povinností, kdy top management musí:

• zajistit dostatečné zdroje, včetně rozpočtu,
• stanovit bezpečnostní politiku a cíle, zajistit pravidelná školení,
• prokazatelně se zapojovat do přezkumu systému řízení bezpečnosti a výsledků auditů,
• zřídit výbor pro řízení kybernetické bezpečnosti a určit konkrétní role (manažer, architekt, garant, auditor),
• zapojit se do testování plánů kontinuity a obnovy, podílet se na analýze dopadů.

2. Režim nižších povinnost, kdy je vedení povinno:

• určit odpovědnou osobu pro kybernetickou bezpečnost,
• absolvovat školení, seznámit se s aktuálním stavem,
• zajistit minimální zdroje a stanovit priority obnovy aktiv.

Statutárové pod drobnohledem – přímá odpovědnost a sankce

Nová pravidla přenáší přímou osobní odpovědnost na jednatele, členy představenstev a další statutární zástupce. Odvolávat se na to, že tato problematika spadá pod IT oddělení již nebude nadále možné ani obhajitelné.

Pokud firma neplní povinnosti:

• pokuty mohou dosahovat až 250 milionů Kč nebo 2 % celosvětového obratu (vyšší režim), resp. až 175 milionů Kč nebo 1,4 % (nižší režim),
• NÚKIB může uložit zákaz výkonu funkce na 6 měsíců i více v případě závažného nebo opakovaného porušení,
• v extrémních případech lze požadovat náhradu škody po konkrétní osobě.

Kyberbezpečnost jako součást péče řádného hospodáře

S účinností nové legislativy se kybernetická bezpečnost stává běžným standardem výkonné funkce. Statutárové budou muset prokázat, že:

• organizace má zavedená adekvátní opatření,
• zaměstnanci včetně vedení jsou školeni,
• existuje pravidelně aktualizovaný a otestovaný plán reakce na incidenty,
• vedení aktivně kontroluje a vyhodnocuje bezpečnostní opatření.

NIS2 jako příležitost, nejen hrozba

NIS2 a nZKB nejsou jen legislativními strašáky. Přinášejí firmám příležitost upevnit důvěru zákazníků a investorů. Transparentní přístup ke kybernetické bezpečnosti může být v konkurenčním prostředí výhodou. Ti, kteří se připraví včas, budou o krok napřed. Naopak ti, kdo přípravu podcení, riskují vysoké pokuty i reputaci a důvěru trhu.